UNIVERSITÀ DEGLI STUDI DI SALERNO
D
IPARTIMENTO DI
S
CIENZE
E
CONOMICHE E
S
TATISTICHE
CORSO DI DOTTORATO DI RICERCA IN
ANALISI ECONOMICA, GIURIDICA E STATISTICA DELLE
POLITICHE, DEI MERCATI E DELLE IMPRESE
XXIX CICLO
CURRICULUM: DIRITTO E MERCATO GLOBALE
TESI DI DOTTORATO
in
DIRITTO PRIVATO
Il Cloud Computing
Dottorando
Coordinatore
dott. Francesco Aliperti
Chiar.mo Prof. Sergio Destefanis
Tutor
Chiar.mo Prof. Marcello D’Ambrosio
________________________________________________________________________
I
Indice
CAPITOLOI
Cloud computing: definizione, elementi peculiari, descrizione e natura del fenomeno
1. Premessa. ... 1
1.1. I problemi delle tecnologie cloud. ... 6
2. Definizione e descrizione del fenomeno del cloud computing. ... 9
2.1. Trattamento dei dati e utilizzo consapevole dei servizi cloud. ... 13
3. La metafora della «nuvola». ... 18
3.1. Da internet al cloud: le nuove metafore per descrivere il cloud. ... 20
4. Elementi caratterizzanti. ... 26
5. Modelli di «nuvole». ... 27
6. Tipologie di servizi offerti dal cloud. ... 29
7. Benefici del cloud computing. ... 31
7.1. Segue. Rischi. ... 32
8. Legge applicabile e giurisdizione competente. ... 33
CAPITOLOII Evoluzione tecnologica e diritto alla riservatezza. Il trattamento dei dati personali in rete 1. Il diritto alla riservatezza e la sua evoluzione. ... 39
II
1.2. Il diritto alla riservatezza nell’epoca della conoscenza e della esposizione globale.
... 54
2. La storia del pacchetto protezione dati. ... 63
2.1. La Direttiva 95/46/CE e il trasferimento dei dati personali verso un paese «terzo». ... 64
3. Tutela dei dati personali e loro libera circolazione su internet. Il caso Lindqvist. ... 72
3.1. Segue. La sentenza «Costeja»... 79
3.2. Casistica giurisprudenziale italiana dopo la sentenza «Costeja»: il Tribunale di Roma. ... 82
3.3. La decisione «Safe Harbour» e il suo annullamento. Il caso Maximillian Schrems. ... 86
3.4. Il nuovo «Scudo Privacy» per il trasferimento dei dati personali tra UE e USA. ... 93
4. Il trattamento dei dati personali alla luce del Regolamento europeo sulla privacy. Disposizioni generali. ... 94
4.1. Segue. I Princípi del Regolamento europeo sulla privacy. ... 98
4.1.1. Segue. I princípi specifici di trasparenza, di accountability, di privacy by design e privacy by default. ... 102
4.1.2. Segue. Le principali novità... 105
4.1.3. Segue. Le garanzie sul trasferimento di dati personali al di fuori dell’UE. ... 110
4.1.4. Segue. Il comitato europeo per la protezione dei dati. ... 115
4.1.5. Segue. Reclamo e ricorso giurisdizionale. ... 117
4.1.6. Segue. Diritto al risarcimento e responsabilità. ... 118
CAPITOLO III La tutela dei dati personali nell’era del cloud computing 1.La conservazione dei documenti informatici in cloud computing. ... 120
2. La conservazione dei dati personali nella giurisprudenza della Corte di giustizia. ... 127
III
4. I ruoli dei diversi operatori nei sistemi cloud. Il fornitore: titolare o responsabile? ... 136
5. Obblighi di protezione dei dati nella relazione cliente-fornitore. ... 143
6. Responsabilità in àmbito cloud. ... 152
7. Il primo codice di condotta per garantire la protezione dei dati personali dei clienti di provider di infrastrutture cloud. ... 158
Osservazioni conclusive. ... 166
BIBLIOGRAFIA ... 177
1
CAPITOLOI
Cloud computing: definizione, elementi peculiari, descrizione e natura del fenomeno
Sommario: 1. Premessa. - 1.1. I problemi delle tecnologie cloud. - 2. Definizione e descrizione del fenomeno del cloud computing. - 2.1. Trattamento dei dati e utilizzo consapevole dei servizi cloud. - 3. La metafora della «nuvola». - 3.1. Da internet al cloud: le nuove metafore per descrivere il cloud. - 4. Elementi caratterizzanti. - 5. Modelli di «nuvole». - 6. Tipologie di servizi offerti dal cloud. - 7. Benefici del cloud computing. -7.1. Segue. Rischi. - 8. Legge applicabile e giurisdizione competente.
1. Premessa.
Il cloud computing nasce negli USA, in cui ha un’operatività ormai consolidata, mentre in Europa e in Italia sta iniziando a muovere i primi passi. La corretta descrizione del fenomeno economico-sociale racchiuso nell’espressione inglese cloud computing si prospetta all’interprete come attività necessariamente prodromica rispetto alla trattazione e, successiva, risoluzione dei possibili problemi che tale fenomeno pone. Ciò nella ferma convinzione che «non basta la conoscenza della legge, l’interpretazione della disposizione legislativa, né ricostruire gli istituti, i concetti e quindi il sistema; necessario è confrontare il sistema con il fatto, la realtà sociale, i problemi concreti.».1 È, in altri termini, essenziale il confronto tra interpretazione del dato normativo e peculiarità del fatto.2
Sulla base dell’insegnamento per il quale il giurista deve operare sulle cose e non sul modo con cui altri prima di lui hanno parlato di certe cose3, nello studio del fenomeno de
quo, sarà all’uopo indispensabile immergersi nel particolare della vita e dell’esperienza di
codesto fenomeno, conducendo un’analisi che, dalla disamina della tecnologia cloud, dalla descrizione delle sue tipologie e dei servizi offerti, riesca in tal modo a individuarne i suoi
1 P. PERLINGIERI, Il diritto civile nella legalità costituzionale secondo il sistema italo-comunitario delle fonti, 3ª ed., Napoli,
2006, p. 5 ss. L’a. prosegue affermando: «[…] per la conoscenza del fatto, della singola vicenda da regolare – fisiologicamente, in funzione preventiva –, o da giudicare – patologicamente, in caso di effettivo conflitto, nel momento della funzione, per cosí dire, mediatrice e contemperatrice o arbitrale –, occorre sempre, nell’una e nell’altra ipotesi, porre a confronto il sistema normativo con la realtà dei fatti, la scienza e la prassi.».
2 Sul punto v. P. PERLINGIERI, L’interpretazione della legge come sistematica ed assiologica. Il broccardo in claris non fit
interpretatio, il ruolo dell’art. 12 disp. prel. c.c. e la nuova scuola dell’esegesi, (1985), in ID., Scuole tendenze e metodi.
Problemi del diritto civile, Napoli, 1989, p. 283 ss.
2
tratti fisionomici. Se non si comprendono le peculiarità di un fenomeno non lo si può capire fino in fondo e sarà oltremodo difficile coglierne le problematiche che attorno ad esso ruotano.
Esigenza questa che tanto piú s’impone oggi, in un panorama in cui la predetta tecnologia procede molto piú velocemente dell’attività del legislatore.4 Lo richiede, d’altronde, la crescente complessità del mondo nel quale viviamo, caratterizzato oramai da una realtà complessa, nella quale «reale» e «virtuale» si intrecciano inestricabilmente.
In un mondo in cui il sistema delle telecomunicazioni ha reso possibile annullare la dimensione spaziale e temporale, un approccio statico ai nuovi fenomeni, che pretenda di utilizzare categorie giuridiche ormai obsolete, non piú attuali e non contestualizzate alla realtà dei fatti, rischia di non riuscire a coniugare lo sviluppo tecnologico con la tutela dei diritti inviolabili della persona. Nel panorama giuridico attuale, in cui il diritto ha rotto con schemi definiti, assoluti, immodificabili, è imprescindibile una dialettica costante tra testo e contesto, capace di fornire la disciplina piú adeguata alla contingenza concreta, senza chiedere al legislatore ciò che, a ben vedere, è di competenza dell’interprete.
Emerge, infatti, sempre di piú la difficoltà per il regolatore tradizionale, ancora prevalentemente legato al criterio della territorialità, di trasformare princípi, valori, diritti fondamentali propri del suo ordinamento nazionale o, al massimo, regionale5, in norme giuridiche vincolanti per un’umanità globale. In misura crescente si evidenzia come il rapporto tra la tecnologia e i suoi molteplici utilizzi possa incidere e condizionare anche la tutela dei diritti fondamentali dei cittadini e in genere degli utenti, compresi quelli delle imprese che assicurano il funzionamento stesso di queste tecnologie6.
4 Manca ancora un quadro normativo aggiornato – in tema di privacy, ma anche in àmbito civile e penale – che
tenga conto di tutte le novità introdotte dal cloud computing e sia in grado di offrire adeguate tutele nei riguardi delle fattispecie giuridiche connesse all’adozione di servizi distribuiti di elaborazione e di conservazione dati. Il nuovo Regolamento Europeo (679/2016) sulla protezione dei dati introduce un’unica legislazione in tutti gli Stati Membri dell’UE, ma sarà applicabile a decorrere dal 25 Maggio 2018 (art. 99). Esso regolamento rappresenta lo strumento atto a formalizzare il nuovo corso digitale della tutela dei dati personali, a livello comunitario ed extracomunitario. Questo mostra peculiarità rilevanti di tipo tecnico-giuridico: è obbligatorio e direttamente applicabile in tutti gli Stati membri senza necessità di recepimento; ha un’essenza informatico giuridica spiccata; implica tutele verso i cittadini dell’Unione europea anche da parte di nazioni extra UE; mira a responsabilizzare utenti e aziende sulle attività digitali che concedono e/o dispongono. Al riguardo v. infra cap. II e III.
5 Ovviamente per «regionale» qui s’intende l’area territoriale interessata al rispetto di regole sovranazionali
poste da una organizzazione che coinvolge gli Stati appartenenti a una regione del mondo. Un esempio classico di questa accezione del termine è la stessa Unione Europea.
6 Sul punto si rinvia a F. PIZZETTI, Dati e diritti nell’epoca della comunicazione elettronica, in ID., Il caso del diritto
3
Essendo il fatto, e non la parola, l’oggetto della scienza giuridica7, occorrerà, allora, individuare il concreto atteggiarsi, nella prassi delle imprese (ma anche della pubblica amministrazione), dei servizi cloud per poi, in seguito, specificare le problematiche connesse all’adozione di tali servizi, anche in relazione agli aspetti di protezione dei dati personali.
Le nuove tecnologie necessitano di nuove regole, nuovi sistemi di relazioni tra persone (di diverse zone del mondo) che producano nuove regole, globali e universali. Ma nella consapevolezza che non tutto può essere regolato dal legislatore, sarà ancor piú necessario, allora, identificare le peculiarità funzionali e strutturali della fattispecie concreta8 in modo tale da rinvenire, nel complesso sistema italo-comunitario delle fonti9, regole e princípi, idonei a costruire, di volta in volta, la disciplina piú congrua10.
Occorrerà rifuggire, anche in questo caso, da una ricostruzione concettualistica, formalistica, rigida degli istituti, procedendo, di converso, seguendo una prospettiva funzionale11, ove i rimedi si giustificano in ragione degli interessi da tutelare12, cosí superando il dato formale13, attraverso un ragionamento per princípi, vòlto a valorizzare le peculiarità del caso concreto14.
7 P. PERLINGIERI,Il diritto civile nella legalità costituzionale, cit., p. 93.
8 Sostenitore convinto del metodo del «caso concreto», tradizionalmente estraneo alla formazione del giurista
italiano, P.PERLINGIERI,o.c., p. 97 ss.; ID.,Fonti del diritto e “ordinamento del caso concreto”, in Riv. dir. priv., 2010,
p. 7 ss. Sul metodo casistico-problematico v., tra gli altri, G. GORLA, Il contratto. Problemi fondamentali trattati con
il metodo comparativo e casistico, I, Lineamenti generali, Milano, 1955 e ID., Il contratto. Problemi fondamentali trattati con
il metodo comparativo e casistico, II, Casistica e problemi, Milano, 1955; ID., Lo studio interno e comparativo della
giurisprudenza e i suoi presupposti: le raccolte e le tecniche per la integrazione delle sentenze, in Foro it., 1964, V, c. 73 ss.;
R.B. SCHLESINGER, Il «nucleo comune» dei vari sistemi giuridici: un nuovo campo di studi comparativi all’orizzonte, in Riv.
dir. civ., 1963, I, p. 73 ss.; G. ALPA, Il metodo nel diritto civile, in Contr. impr., 2000, p. 450 ss., ed ivi ulteriore bibliografia.
9 Afferma la complessità e l’unitarietà dell’ordinamento giuridico, evidenziando la difficoltà nell’ammettere un
ordinamento altro, inteso come comparto stagno rispetto al primo, P. PERLINGIERI, Complessità e unitarietà
dell’ordinamento giuridico vigente, in Rass. dir. civ., 2005, 1, p. 188 s.; ID., Lo studio del diritto nella complessità e unitarietà
del sistema ordinamentale, in Foro nap., 2014, 1, p. 100.
10 P. PERLINGIERI, Il diritto civile nella legalità costituzionale,cit., p. 352 ss.
11 Contro una ricostruzione concettualistica, formalistica, rigida degli istituti civilistici e a favore della
prospettiva funzionale, P. PERLINGIERI,La contrattazione tra imprese,in Riv. dir. impr., 2006, 3, p. 330 ss.
12 P. PERLINGIERI,La contrattazione tra imprese,cit., p. 342 ss.
13 P. PERLINGIERI, L’interpretazione della legge come sistematica ed assiologica, cit., passim. Che occorra superare il
dato formale pare esserne convinta anche la Suprema Corte di Cassazione che, con sentenza n. 21994 del 6 dicembre 2012 (in Foro it., 2013, I, c. 1205, con nota di A. PALMIERI), precisando che anche nella fase
attuativa di un rapporto contrattuale trovano applicazione il dovere costituzionale di solidarietà, nonché i correlati doveri di correttezza e buona fede, ha statuito che nell’esercizio del potere del giudice di riduzione della penale, la valutazione de «l’interesse che il creditore aveva al momento dell’adempimento» va fatta non avendo riguardo al momento della stipulazione della clausola – come pure lascerebbe intendere il dato letterale della norma con l’uso del verbo «aveva» al tempo imperfetto – ma tenendo conto anche delle circostanze manifestatesi durante lo svolgimento del rapporto. È questa una tipica ipotesi di interpretazione costituzionalmente orientata (nel caso di specie in relazione all’art. 2 Cost.) di una norma del codice civile: tale
4
Anche il fenomeno del cloud computing e gli istituti che con esso entreranno in relazione richiedono una lettura (o rilettura) alla luce sia del personalismo15 sia del solidarismo16, non essendo questi valori estranei alle problematiche che siffatto fenomeno solleva. Il fenomeno in esame, poiché fenomeno giuridico, il quale si esprime mediante la complessità di princípi e valori giuridicamente rilevanti, comporta che il suo studio non potrà che fondarsi su un’interpretazione, dei concetti e dei temi a esso relativi, che non potrà che essere assiologica e sistematica17.
Ebbene, trattamento dei dati e «rischio di perdersi nella nuvola», neutralità della rete18, obbligo di denunciare le serious breaches19, necessità di ridefinire le responsabilità nell’àmbito di catene complesse di trattamento dei dati, sono (alcuni) titoli di una tematica sempre piú vitale per la nostra società, per il nostro sviluppo economico, per la nostra libertà e convivenza democratica.
tipo di interpretazione permette anche, eventualmente, di superare un dato letterale apparentemente contrario.
14 Sulla variabilità dei rimedi e sulla necessità che il rimedio sia adeguato rispetto agli interessi da tutelare v.,
per tutti, P. PERLINGIERI, Il diritto civile nella legalità costituzionale, cit., p. 352 ss.; ID., Il “giusto rimedio” nel diritto
civile, in Giusto proc. civ., 2011, 1, p. 3 ss.
15 «Il principio personalistico ispira la Carta Costituzionale e pone come fine ultimo dell’organizzazione
sociale lo sviluppo di ogni singola persona umana» (cosí Cass., 15 giugno 2012, n. 14103, in Rep. Foro it., 2013, voce Servitù, n. 32).
16 Sull’incidenza del principio personalista nell’interpretazione degli istituti patrimoniali e, quindi,
depatrimonializzando, socializzando, umanizzando un diritto civile originariamente nato con una predominante concezione patrimoniale ed individualistica dei rapporti intersoggettivi, v. C. DONISI, Verso la
«depatrimonializzazione» del diritto privato, in Rass. dir. civ., 1980, p. 644 ss.
17 Sull’interpretazione assiologica e sistematica v., ampliamente, P. PERLINGIERI o.l.u.c., passim; ID., La dottrina
del diritto civile nella legalità costituzionale, in Rass. dir. civ., 2007, 2, p. 497 s.
18 Il diritto ad un accesso neutrale ad internet è espressamente riconosciuto dalla «Dichiarazione dei diritti in
internet» (art. 4), approvata e pubblicata il 28 luglio 2015 dalla «Commissione per i diritti e i doveri in internet» istituita presso la Camera dei deputati (XVII Legislatura). Tale diritto viene elevato a «condizione necessaria per l’effettività dei diritti fondamentali della persona» (art. 4, comma 2) e si sostanzia nel riconoscimento ad ogni persona del diritto a che «i dati trasmessi e ricevuti in Internet non subiscano discriminazioni, restrizioni o interferenze in relazione al mittente, ricevente, tipo o contenuto dei dati, dispositivo utilizzato, applicazioni o, in generale, legittime scelte delle persone» (art. 4, comma 1). Come si legge nel suo preambolo, la «Dichiarazione» in parola «è fondata sul pieno riconoscimento di libertà, eguaglianza, dignità e diversità di ogni persona. La garanzia di questi diritti è condizione necessaria perché sia assicurato il funzionamento democratico delle Istituzioni, e perché si eviti il prevalere di poteri pubblici e privati che possano portare ad una società della sorveglianza, del controllo e della selezione sociale» ed è «strumento indispensabile per dare fondamento costituzionale a principi e diritti nella dimensione sovranazionale».
19 Si tratta di quelle «smagliature» o «rotture» (o, ancora, «falle») del sistema che sono ormai definite
usualmente come «data breaches» e che possono compromettere l’una o l’altra fase del sempre piú articolato processo di trasmissione delle informazioni sul quale si basa la società delle telecomunicazioni. Ed è proprio l’espansione inarrestabile della circolazione dei dati, legata proprio al modo di essere e di vivere dell’umanità, che dipende sempre di piú dalla comunicazione globale assicurata dal sistema integrato delle comunicazioni elettroniche, a rendere ogni giorno piú rilevante il problema delle «falle» che possono verificarsi nel sistema.
5
Lo sviluppo, tuttavia, ha sempre un prezzo da pagare e ciò si rinviene nella semplice considerazione per la quale le imprese e gli operatori cui il mercato offre questi nuovi servizi pensano soprattutto alla diminuzione di costi o alle opportunità costante ammodernamento che queste tecnologie consentono, prestando scarsa attenzione al fatto che le stesse comportano, però, la perdita del possesso fisico dei dati e dei programmi operativi che utilizzano.
Ecco dunque la necessità e l’importanza di un avanzamento nella consapevolezza dei nuovi fenomeni tecnologici e, ciò premesso, l’esigenza e altresí l’urgenza di un bilanciamento degli interessi in gioco, guidata dall’interpretazione costituzionalmente e comunitariamente orientata.
Invero, l’avanzata delle nuove tecnologie non può e non deve essere fermata, né tantomeno ostacolata, ma deve essere indagata per poi essere regolata a garanzia di tutti. È chiaro come il progresso tecnologico non possa assolutamente sopprimere valori costituzionali supremi (in primis la dignità umana20, ad esempio). L’eventuale mancanza di controllo (o una cattiva gestione) nel suo dipanarsi potrebbe comportare il serio rischio di un annullamento delle conquiste in tema di diritti fondamentali della persona. Questi devono sempre rappresentare la cornice nella quale disegnare, e ancor prima immaginare, lo sviluppo delle nuove tecnologie. Lo sviluppo senza la tutela dei diritti fondamentali della persona non è ammissibile.
Occorre, allora, che sempre piú spesso si illustrino gli aspetti essenziali delle piú avanzate innovazioni a disposizione del mercato, che si predispongano linee informative per rendere questi fenomeni piú comprensibili per gli utenti, nonché raccomandazioni dedicate agli operatori economici, insieme a indicazioni specifiche per le amministrazioni e i regolatori, a partire ovviamente dal Parlamento e dal Governo21.
20 Sulla rilevanza e preminenza della dignità umana v. la famosa sentenza Omega (Corte giust., 14 ottobre
2004, c. 36/02, Omega Spielhallen-und Automatenaufstellungs GmbH c. Oberbürgermeisterin der Bundesstadt Bonn, in www.giurcost.org), con la quale si è statuito che «[i]l diritto comunitario non osta a che un’attività economica consistente nello sfruttamento commerciale di giochi di simulazione di omicidi sia vietata da un provvedimento nazionale adottato per motivi di salvaguardia dell’ordine pubblico perché tale attività viola la dignità umana.».
21 In tal senso, v. F. PIZZETTI, Uomini e dati. Evoluzione tecnologica e diritto alla riservatezza, in Foro it., 2011, V, c.
6
È sempre piú urgente, però, che gli utenti siano informati dagli stessi fornitori dei rischi connessi ai servizi offerti. Anche in quest’àmbito è necessaria un’informativa di rischio analoga, per esempio, a quelle sull’uso dei farmaci o sui pericoli dell’eccessiva velocità.22
1.1. I problemi delle tecnologie cloud.
Il diffondersi in misura sempre piú massiccia della tecnologia cloud, certamente destinata a crescere fino a diventare il modo normale di utilizzo dei dati in ambito ICT23, comporta che tutto il sistema di protezione dei dati stia per entrare o, meglio, sia già entrato in una nuova dimensione.
Ciò in quanto l’aspetto piú significativo della tecnologia cloud, in realtà solo parzialmente nuova24, è che essa renderà sempre piú netta la separazione fra la titolarità dei dati e dei trattamenti, e il possesso e il controllo fisico dei dati trattati o conservati. Ogni trattamento, anche il piú semplice, richiederà comunque la circolazione sulla rete. La relativa tutela e conservazione non solo dipenderà sempre piú anche da chi opera «in remoto», ma sarà anche affidata in misura crescente a soggetti che non sono né i «proprietari» dei dati (e cioè per usare il linguaggio europeo, «gli interessati»), né coloro che questi dati trattano (e cioè, sempre nel linguaggio europeo, i «titolari»).
A questo si deve aggiungere poi che il cloud richiede, per poter erogare un servizio su larga scala, una grande molteplicità di server, collocati nelle parti piú diverse del mondo
22 F. PIZZETTI, Uomini e dati, cit.
23 «Le tecnologie dell’informazione e della comunicazione, in acronimo TIC (in inglese Information and
Communications Technology, in acronimo ICT), sono l’insieme dei metodi e delle tecnologie che realizzano i
sistemi di trasmissione, ricezione ed elaborazione di informazioni (tecnologie digitali comprese). Dal secondo dopoguerra, l’uso della tecnologia nella gestione e nel trattamento delle informazioni assume crescente importanza strategica per le organizzazioni e per i cittadini in maniera crescente con il boom di internet a partire dagli anni novanta. Le istituzioni educative in particolare prevedono, attraverso il proprio progetto educativo, appositi percorsi di formazione ed utilizzo trasversale delle TIC per le diverse discipline. Oggi l’informatica (apparecchi digitali e programmi software) e le telecomunicazioni (le reti telematiche) sono i due pilastri su cui si regge la società dell’informazione.», cfr. voce Tecnologie dell’informazione e della comunicazione, in Wikipedia, all’indirizzo web https://it.wikipedia.org/wiki/Tecnologie_dell%27informazione_e_della_comunicazione.
24 In realtà, gli utenti di internet già da molti anni fanno un uso (pressoché inconsapevole) dei servizi in
modalità cloud. Si pensi ai servizi di web-mail, che consentono di accedere agevolmente a tutte le e-mail scambiate, in invio e in ricezione, da qualsiasi computer collegato a internet, e che sempre piú spesso vengono usati anche come archivio remoto dei nostri dati. Oppure, si pensi alle potenzialità degli smartphone, che amplificano il ricorso alle e-mail consentendoci l’accesso ai nostri dati in ogni momento delle nostre giornate, in treno o nella sala di attesa del medico, grazie a servizi sempre piú sofisticati e fornitori globali (come ad esempio Blackberry) che si occupano di archiviare la nostra posta in server localizzati al di fuori del Paese, e di recapitarcela istantaneamente, senza neppure la necessità di una nostra richiesta al server.
7
anche se sempre riconducibili alla medesima organizzazione che assume la responsabilità della conservazione, protezione e messa a disposizione tempestiva dei dati quando richiesti dai titolari. È facile, dunque, rendersi conto che tutto il quadro di fatto e di diritto del sistema ICT, almeno per la parte relativa al trattamento telematico dei dati, è in tumultuosa evoluzione. Va evidenziato che proprio la tecnologia cloud, che separa sempre di piú chi, avvalendosi del servizio, tratta i dati da chi li custodisce (il provider) e che implica inevitabilmente la loro custodia in enormi server, collocati in tutti i continenti, può determinare pericoli gravissimi non solo per il mondo delle imprese e per gli individui, ma anche per le grandi strutture pubbliche e private e, in particolare, quelle di giustizia e sicurezza. Sempre di piú enormi quantità di dati potranno essere allocati fuori dal controllo fisico e diretto delle autorità nazionali. Il rischio molto concreto è che fra questi vi siano anche dati di particolare valore per il funzionamento o la protezione delle nostre società, senza che siano adottate le necessarie misure di protezione e controllo. Si pensi, ad esempio, ai dati fondamentali per gli attori politici e istituzionali (dati relativi alle dichiarazioni dei redditi o a quelli contenuti nelle anagrafi e nei registri tenuti dalle pubbliche amministrazioni per le piú diverse finalità) e per il funzionamento delle moderne economie nazionali; o, ancora, a quelli necessari per la conoscenza della struttura e della composizione delle società (ad esempio i censimenti catastali), etc.
Il problema centrale delle tecnologie cloud è che esse possono rendere difficile per le Autorità nazionali sia l’accesso ai dati di loro interesse che la verifica in ordine alle misure di protezione adottate. Queste autorità, infatti, hanno un àmbito di competenza segnato dal limite territoriale, essendo il territorio, insieme alla popolazione e alla sovranità, l’elemento costitutivo di quella creazione giuridica sviluppatasi nella realtà del mondo non digitale chiamata Stato moderno. Dunque, ben difficilmente possono esercitare i loro poteri di
enforcement al di fuori del proprio territorio, e questo obbliga tutti a interrogarsi se, e in che
misura, sia possibile che, grazie al cloud e all’uso di server collocati in ogni parte del mondo, i dati siano trasferiti, senza vincoli e senza verifiche, al di fuori del territorio nazionale25.
Non si tratta solo di interrogarsi su come far valere in questo nuovo contesto il limite da sempre posto dalla normativa europea circa il trasferimento di dati all’estero quando
25 Evidenzia questi aspetti problematici, F. PIZZETTI, Dati e diritti nell’epoca della comunicazione elettronica, cit., p.
8
manchino idonee garanzie da parte dei Paesi che li ricevono. La questione, cosí come ora si prospetta, è ancora piú importante. Si tratta, infatti, di trasferimenti di dati all’estero che possono rendere difficile non solo la difesa dei diritti dei cittadini interessati, ma anche la protezione delle nostre stesse società e delle loro informazioni strategiche.
Non vanno poi sottovalutati anche i problemi in materia di giurisdizione e di legge applicabile sia per quanto riguarda le regole che presiedono al trattamento dei dati, sia per quanto riguarda le decisioni relative alle eventuali controversie.
Altrettanto importante è la questione relativa alla portabilità o interoperabilità dei dati e, dunque, la migrazione degli stessi da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzano servizi cloud di fornitori differenti.
Partendo dell’assunto per il quale il cloud ha senza dubbio ad oggetto la fornitura di servizi, piuttosto che la vendita di prodotti, come naturale conseguenza della sua genesi nella storia dell’informatica, occorre poi fornire una qualificazione giuridica al contratto con il quale si regolamenta il rapporto tra utente e fornitore. Sarà quindi indispensabile individuare la tipologia, rectius le tipologie, di contratto riconducibili al cloud26.
Inoltre, non da sottovalutare potrebbe essere l’interrogarsi sulla natura della condivisione dei dati nella «nuvola» e sui suoi possibili risvolti pratici. In buona sostanza, l’utilizzatore del servizio cloud che archivia, memorizza, conserva, quindi, potremmo dire, conferisce i dati, le informazioni, i file etc. nella nuvola, cosí da condividerli con gli altri membri, ai quali consente l’accesso alla nuvola stessa, con la possibilità di visionarli e
26 Si possono individuare alcuni tratti contrattuali comuni in tutte le tipologie di cloud. Eloquente risulta
l’impegno dell’utente a consegnare al fornitore i propri dati e l’assunzione dell’obbligo di quest’ultimo di custodirli e restituirli su richiesta del primo, caratteri tipici del contratto di deposito, in cui l’utente si identificherebbe come depositante ed il fornitore come depositario. Sussistono, inoltre, forti analogie con il contratto di somministrazione, mentre ci si può anche interrogare sulla possibile ricorrenza dei caratteri del contratto di appalto o di quelli tipici del contratto di licenza d’uso. Per una esaustiva disamina della qualificazione giuridica del contratto in discorso si rinvia a M. D’AMBROSIO, Cloud computing, in Manuale di
diritto dell’informatica, 3ª ed., a cura di D. Valentino, Napoli, 2016, p. 413 ss., il quale evidenzia però (p. 415) i
limiti di un approccio tradizionale alla tematica in parola, ritenendo «poco opportuno» il tentativo di inquadrare il cloud computing all’interno di rigide figure negoziali tipiche o atipiche, essendo «innanzitutto necessario accertare quale diritto – di quale ordinamento – sia applicabile alla fattispecie in base alla pattuizioni delle parti. Successivamente, l’interprete è chiamato a ricostruire la funzione concreta del negozio e ad assicurare l’applicazione della disciplina piú adeguata alla cura degli interessi coinvolti, rintracciandola all’interno dell’ordinamento nel suo complesso mediante un’attività ermeneutica sistematica. Non si coglie, pertanto, una significativa utilità nel tentativo di ricondurre, aprioristicamente, la fattispecie del cloud computing all’interno di uno specifico modello negoziale, sia questo disciplinato o no dal legislatore. A fronte della poliedrica regolamentazione degli interessi, si potrà ricorrere alla disciplina ora dell’appalto e ora della locazione, ma legittimo può ritenersi, pure, il rinvio alla figura del contrato di licenza d’uso o alle norme in tema di somministrazione. La qualificazione del negozio deve avvenire con riferimento al concreto profilo causale dell’atto, sí da assicurare la migliore regolamentazione degli interessi della parti.».
9
scaricarli sul proprio strumento hardware, salvo il limite della cancellazione, attribuisce, a tali soggetti autorizzati all’accesso nella nuvola, un diritto? Se si, quale? Questa «autorizzazione» all’accesso alla nuvola, come può qualificarsi giuridicamente? Una volta autorizzati, cosa possono fare e/o non fare i membri della cloud? E se è l’amministratore stesso a perdere, distruggere, cancellare definitivamente quei dati che aveva voluto condividere con altre persone, sarà civilmente responsabile?
2. Definizione e descrizione del fenomeno del cloud computing.
È fondamentale partire dal significato dell’espressione «cloud computing», per poi dare, al fenomeno che essa espressione identifica, una definizione in grado di descriverne, compiutamente ed esaustivamente, i suoi elementi peculiari. Di conseguenza, sarà piú agevole individuare il panorama giuridico in cui muoversi e applicare, cosí, correttamente le disposizioni normative.
L’espressione «cloud computing»27, letteralmente, significa «nuvola informatica» e, in buona sostanza, consiste in risorse informatiche distribuite in remoto. Tal è la definizione contenuta nel Parere del Comitato economico e sociale europeo sul tema «Il cloud computing in Europa» (parere d’iniziativa, 2001/C 24/08), in G.U.C.E. del 28 gennaio 2012.
Con tale termine ci si riferisce ad un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software, la possibilità di conservare e di elaborare grandi quantità di informazioni via internet.28
Esso costituisce, quindi, una forma d’immagazzinamento e archiviazione di dati, informazioni e contenuti digitali (file, fotografie etc.) in una piattaforma intangibile29 (rectius
27 Come rileva G. TROIANO,Profili civili e penali del cloud computing nell’ordinamento giuridico nazionale: alla ricerca di
un equilibrio tra diritti dell’utente e doveri del fornitore, in Cib. dir., 2011, Vol. 12, n. 3, p. 233, «[n]on esiste una
definizione univoca di cloud computing. Il termine cloud, con ogni probabilità, deriva dalla rappresentazione grafica che in informatica si utilizza per indicare la rete Internet, una nuvola appunto. Il termine computing, invece, attiene alla progettazione e realizzazione di hardware e software per la gestione dei dati. […]. In buona sostanza, il termine cloud computing è utilizzato oggi per indicare le risorse informatiche (di un computer) collocate in più luoghi della rete Internet e tramite la stessa utilizzabili […]».
28 Il cloud offre, a seconda dei casi, il trasferimento della conservazione o dell’elaborazione dei dati dai computer
degli utenti ai sistemi del fornitore. Il cloud consente, inoltre, di usufruire di servizi complessi senza doversi necessariamente dotare né di computer e altri hardware avanzati, né di persone in grado di programmare o gestire il sistema. Sugli aspetti concernenti i vantaggi e i rischi del Cloud computing, v. infra, § 7 e 7.1.
29 In questi termini, E. RENGIFO GARCÍA, Computaciòn en la nube, in Revista la propiedad inmaterial, 2013, n. 17, p.
10
virtuale30); un nuovo modo di salvare e conservare dati sorto con lo sviluppo delle nuove tecnologie.
È, pertanto, quell’insieme di tecnologie che permette l’erogazione di un servizio offerto da un provider a un utente, consistente nel memorizzare/archiviare e/o elaborare dati, grazie all’utilizzo di risorse hardware/software che sono allocate in internet.31
La definizione maggiormente accettata dalla dottrina, per quanto concerne il cloud
computing, è quella proposta dal National Institute of Standards and Technology (NIST) dell’U.S. Departement of Commerce, ossia: «model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and service) that can be rapidely provisioned and released with minimal management effort or service provider interaction».32
Secondo la codetta definizione, il cloud computing è caratterizzato da cinque elementi essenziali (on-demand self-service, broad network access, resource pooling, rapid elasticity, measured
service), articolato in tre service models (Software, Platform, Infrastructure) e quattro deployment models (private cloud, community cloud, public cloud, hybrid cloud)33.
Per intendere correttamente il suo concetto e la sua portata, la dottrina ha fatto ricorso alla seguente analogia: «si pensi al cloud computing come un servizio pubblico, come un servizio di energia elettrica. In un servizio di fornitura di energia elettrica, le parti contrattuali sono le grandi imprese fornitrici - che prestano il servizio - e i clienti – consumatori e imprese - che utilizzano e pagano per il servizio. Lo stesso modello di base
30 Scrive G. COLANGELO,L’enforcement del diritto d’autore nei servizi cloud computing, in Dir. aut., 2012, p. 175: «il
cloud computing incarna pienamente l’immagine di un universo della conoscenza virtuale, rappresentando un
paradigma in cui si genera un’astrazione delle risorse computazionali, le quali vengono offerte tramite Internet come servizio al di fuori del proprio ambiente e rese fruibili agli utenti a consumo (pay-per-use)». Siamo in presenza di un insieme di tecnologie e risorse informatiche non localizzate in un personal computer o in un altro dispositivo digitale ma accessibili direttamente online grazie allo sviluppo delle reti di comunicazione […]»; G. TROIANO,Profilicivili e penali del cloud computing, cit., p. 237 s., individua nella virtualizzazione e nella
ridondanza gli elementi peculiari del modello cloud computing.
31 Cosí M.C. DE VIVO,Il contratto e il cloud computing, in Rass. dir. civ., 2013, fasc. 4, p. 1001.
32 P. MELL-T. GRANCE, The NIST Definition of Cloud Computing, 2011, disponibile al sito Internet
«http://esre.nist.gov/publications/nistpubs/800-145/SP800-145.pdf».Si rifanno a codesta definizione, tra gli altri: G. COLANGELO, L’enforcement del diritto d’autore, cit., p. 175; E. RENGIFO GARCÍA, Computaciòn en la nube,
cit., p. 223; M.C. DE VIVO,Il contratto e il cloud computing, cit., p. 1003; D. LÓPEZ JIMÉNEZ, La “computación en la
nube” o “cloud computing” examinada desde el ordenamiento jurídico español, in Rev. de Derecho de la Pontificia Universidad Católica de Valparaíso XL, 2013, p. 694; G. TROIANO,o.c., p. 233; C. FLICK-V. AMBRIOLA, Dati nelle nuvole:
aspetti giuridici del cloud computing e applicazione alle amministrazioni pubbliche, in federalismi.it, 2013, n. 6, p. 2, per i
quali, sinteticamente: «il NIST […] definisce il cloud computing come un modello che abilita l’accesso tramite internet a risorse condivise di calcolo, utilizzabili dinamicamente ed efficacemente a fronte di limitate attività di gestione».
11
esiste nel cloud computing. Le compagnie di servizi informatici come Google, Microsoft e Amazon sono i fornitori della nuvola. Gli utenti, consumatori e imprese, che utilizzano i servizi offerti dai fornitori sono i clienti della nuvola».34
In questo peculiare caso, i servizi somministrati sono risorse informatiche.35
In pratica accade che l’utente, attraverso un qualsiasi strumento tecnologico in grado di collegarsi a internet, può accedere a una determinata nuvola in grado di fornirgli i servizi o i dati richiesti; inoltre può «trasportare» i propri dati dal proprio dispositivo in una «nuvola» da lui stesso contattata, cosí da poterli avere sempre consultabili, ovunque si trovi.36
L’innovazione e il successo delle cloud (le nuvole informatiche) risiede nel fatto che, grazie alla raggiunta maturità delle tecnologie che ne costituiscono la base, tali risorse sono facilmente configurabili e accessibili via rete, e sono caratterizzate da particolare agilità di fruizione che, da una parte semplifica significativamente il dimensionamento iniziale dei sistemi e delle applicazioni mentre, dall’altra, permette di sostenere gradualmente lo sforzo di investimento richiesto per gli opportuni adeguamenti tecnologici e l’erogazione di nuovi servizi.
Il cloud computing è il risultato di un «percorso circolare nella storia dell’informazione».37 Negli anni ’80, quando i computer domestici non avevano risorse sufficienti per custodire ed elaborare tante informazioni, i dati erano memorizzati e processati attraverso i piú potenti sistemi informativi dei governi, dei centri di ricerca e delle istituzioni. Di questi sistemi si utilizzavano anche il linguaggio di programmazione e in molti casi venivano utilizzati come
repository per dati o programmi, attraverso una «sorta di cloud abusivo». A partire dalla metà
degli anni ’90, con il drastico calo dei costi delle memorie e dei processori, l’utilizzatore informatico iniziò a custodire i dati sui sopporti presso il proprio domicilio privato o luogo di lavoro poiché, in sostanza aveva «una percezione di maggior sicurezza nel tenere tutti i dati presso
34 Ricorre a tale analogia, per spiegare il fenomeno del cloud computing: E. RENGIFO GARCÍA, Computaciòn, cit.,
p. 224, il quale, a sua volta, richiama (in nota 2) T. J. CALLOWAY, Cloud Computing, Clickwrap Agreements, and
Limitation on Liability Clauses: A Perfect Storm?, en: [http://scholarship.law.duke.edu/cgi/viewcontent
cgi?article=1232&context=dltr].
35 E. RENGIFO GARCÍA, o.c., p. 224.
36 M.C. DE VIVO,Il contratto e il cloud computing, cit., p. 1003.
37 G. TROIANO, o.c., p. 234, il quale richiama (in nota 3) G. ZICCARDI, Cloud computing tra criminalità,
12
do sé». Nel nuovo millennio il dato «abbandona l’utente e ritorna sui grandi sistemi», nella nuvola,
il piú delle volte anche inconsapevolmente38.
Spesso utilizziamo tecnologie cloud senza neppure saperlo. Oggi, ad esempio, reti sociali come Facebook e MySpace, sistemi di posta elettronica, come il popolare «gmail» del motore di ricerca Google, ricorrono a questo servizio (si pensi a Google Drive39 o a Dropbox40, ICloud41,
SkyDrive42, per esempio). Questi servizi sono, infatti, «sulle nuvole».
Infatti, acquisire servizi cloud significa acquistare presso un fornitore di servizio risorse (ad esempio server virtuali o spazio disco) oppure applicazioni (ad esempio posta elettronica e strumenti per l’ufficio). In tal modo:
• I dati non risiedono piú su server «fisici» dell’utente, ma sono allocati sui sistemi del fornitore (cosí si può fare a meno di copie in locale).
• L’infrastruttura del fornitore del servizio è condivisa tra molti utenti per cui sono fondamentali adeguati livelli di sicurezza.
• L’utilizzo del servizio avviene via web tramite la rete internet, che assume dunque un ruolo centrale in merito alla qualità dei servizi fruiti ed erogati.
• I servizi acquisibili presso il fornitore del servizio sono a consumo e, in genere, è facile far fronte a eventuali esigenze aggiuntive (ad esempio piú spazio disco o piú potenza elaborativa).
38 La ricostruzione storica è di G. TROIANO,o.c., p. 234, il quale, a sua volta, richiama (in nota 5,6,7) nel
virgolettato in corsivo: G. ZICCARDI, Cloud computing, cit. e G. ZICCARDI, Hacker – Il richiamo, cit., ed evidenzia (in nota 8) come «il sistema operativo Android per dispositivi mobili, per esempio, prevede una sincronizzazione pressoché totale dei dati attraverso un account Google. “[alla fine il telefono diventa meno
importante: lo perdete, ne comprate un altro e quello nuovo diventa identico a quello vecchio […]”».
39 Google drive è il servizio di cloud computing offerto da Google ed è stato definito come «a place where you can
safely store your files online and access them from anywhere» (M. PROCOPIO, Instant Google Drive Starter,
Birmingham, 2013, p. 2).
40 Dropbox è un programma multipiattaforma cloud based sviluppato da Even- flow Inc., che offre un servizio di
hosting e sincronizzazione automatica di documenti tramite web; come nota L. LORENZETTI, Scrivere 2.0: Gli
strumenti del Web 2.0 al servizio di chi scrive, Milano, 2010, p. 58 s. «La particolarità di Dropbox è la possibilità per
l’utente di utilizzare anche un client (software) apposito per la gestione dei file, gratuito e disponibile per Windows, Mac OS X e Linux. Questa applicazione crea automaticamente una cartella sul nostro computer chiamata «My dropbox», il cui contenuto è costantemente sincronizzato con il nostro spazio remoto sul server Dropbox».
41ICloud è il programma che ha sostituito il 6-6-2011 il noto MobileMe, fra gli antesignani del cloud computing. Su
di esso v. le riflessioni di S. POIER, As blurred as a cloud. Preliminary notes questioning some social-legal aspects of cloud
computing, in Cib. dir., 2010, p. 319 s.
42 SkyDrive è il servizio cloud offerto da Microsoft. Una tabella sinottica delle caratteristiche dei programmi
evocati — di proprietà, rispettivamente, delle società Dropbox (già Evenflow), Google, Apple e Microsoft — è consultabile all’indirizzo http://www.androidworld.it/2012/04/24/google-drive-a-confronto-con-i cloud-dropbox-e -skydrive-con-sondaggio 85011/.
13
• Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: oltre ai vantaggi, ci sono anche delle controindicazioni che bisogna conoscere e approfondire.
Lo studio43 “Cloud Computing Report 2011”, Nextvalue report, ipotizzava che nel 2015 il cloud sarebbe stato utilizzato da oltre 2,5 miliardi di persone con oltre dieci miliardi di apparati diversi collegati a internet.
Della sua importanza si è accorta anche la DG Information Society and Media Directorate (DG INFSO)44 della Commissione europea che, nell’àmbito della Digital Agenda for Europe45, ha inserito il cloud tra i temi prioritari da sviluppare entro il 2020 ed ha organizzato una consultazione pubblica per tutte le parti interessate.
2.1. Trattamento dei dati e utilizzo consapevole dei servizi cloud.
Non v’è dubbio che il tema cloud computing sia quanto mai popolare e ampiamente dibattuto per i suoi tanti vantaggi operativi e di riduzione dei costi, ma anche per i dubbi che si sollevano, soprattutto riguardo agli aspetti di sicurezza e di controllabilità dei dati, problematiche contrattuali, conformità alle leggi applicabili.46
Pertanto, in àmbito nazionale, il cloud computing è stato recentemente analizzato dall’Autorità garante per la protezione dei dati personali (Garante Privacy) che ha focalizzato l’attenzione degli utenti sui pericoli che può comportare un uso inconsapevole.
Quanto attiene agli aspetti di protezione dei dati personali e privacy assume, infatti, una particolare importanza, giacché i dati e il loro trattamento sono l’oggetto della maggioranza dei servizi offerti dal sistema cloud, che riguardano, già adesso e ancor di piú nel futuro,
43 Aspetto evidenziato da G. TROIANO,o.c., p. 235.
44 Dal primo luglio 2015, la DG Information Society and Media Directorate (DG INFSO) ha cambiato il suo nome
in Directorate General for Communications Networks, Content and Technology (DG CONNECT).
45 L’Agenda digitale dell’UE è gestita dalla Direzione Generale della Commissione Europea per Le Reti di
Comunicazione, contenuti e tecnologia (anche denominata DG Connect). Il nome individua la gamma degli argomenti in cui tale organismo è attivo e la sua struttura favorisce il lavoro della DG con le politiche chiave dell’UE per il prossimo decennio: garantire che le tecnologie digitali possono contribuire a realizzare la crescita che ha bisogno l’Unione europea . La DG Connect lavora per il Progetto «mercato unico digitale».
Team guidato dal vicepresidente della Commissione europea, Andrus Ansip, e dal membro della Commissione
europea responsabile per il mercato unico digitale, Günther Oettinger. Maggiori informazioni sulla DG Connet, quali priorità, obbiettivi principali, mission e struttura organizzativa sono disponibili al sito web http://ec.europa.eu/dgs/connect/.
14
pressoché tutti i contesti lavorativi nel settore privato, nella pubblica amministrazione e nel sociale.
Il Garante per la protezione dei dati personali è, quindi, intervenuto piú volte al fine di favorire un utilizzo consapevole e corretto del sistema cloud, in particolare, dettando accurate informazioni per l’utilizzo dello stesso in modo da tutelare al meglio i dati personali degli utenti che si affidano a un contratto di cloud computing. In tal senso, di notevole rilevanza è la Scheda di documentazione del 23 giugno 2011 “Cloud computing:
indicazioni per l’utilizzo consapevole dei servizi”, nelle cui premesse si legge:
«L’Autorità nell’ottica di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici, specie per quelli erogati tramite cloud pubbliche (public cloud), che comportano l’esternazione di dati e documenti, ritiene opportuna e doverosa un’opera di informazione orientata a tutelare l’importante patrimonio informativo costituito dai dati personali. Tali indicazioni si propongono, quindi, di offrire un primo insieme di indicazioni utili a tutti gli utenti di dimensioni contenute e di limitate risorse economiche (singoli, piccole e medie imprese, amministrazioni locali quali i piccoli comuni, ecc.) destinatari della crescente offerta di servizi di cloud computing (pubbliche o ibride), con l’obiettivo di favorire l’adozione consapevole e responsabile di tale tipologia di servizi. Le avvertenze di seguito enucleate costituiscono un primo quadro di cautele che favoriscono il corretto trattamento dei dati personali attraverso l’utilizzo dei predetti servizi virtuali e, pertanto, si indirizzano anche ai fornitori, i quali possono fare riferimento a tali indicazioni nella predisposizione dei loro servizi, con l’accortezza di informare opportunamente gli utenti in ordine alla loro adozione. L’Autorità – nella consapevolezza che l’utilizzo dei servizi di cloud computing prefigura problematiche ben difficilmente risolvibili a livello nazionale che richiedono, invece, una riflessione condivisa a livello sia europeo sia internazionale, e in considerazione di tutte le sue implicazioni in relazione al trattamento dei dati personali – intende in ogni caso continuare a seguire l’evoluzione del fenomeno, anche partecipando con altri decisori internazionali a specifici tavoli di lavoro aperti in materia […]. L’autorità, inoltre, si riserva, laddove ne rilevasse la necessità, di
15
adottare in futuro specifiche e dettagliate prescrizioni indirizzate a utenti e fornitori, specie sotto il profilo delle misure si sicurezza»47.
47 Cfr. “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi”. Scheda di documentazione dell’Autorità
garante per la protezione dei dati personali pubblicata congiuntamente alla Relazione Annuale del 2010 -
http://www.garanteprivacy.it/garante/document?ID=1819933.In questa sede, si ritiene opportuno riportare integralmente quella parte del documento che spiega come utilizzare consapevolmente i servizi offerti in cloud
computing:«6. Indicazioni per l’utilizzo consapevole dei servizi cloud. ∙ Ponderare prioritariamente rischi e benefici dei servizi offerti. Prima di optare per l’adozione di servizi di cloud computing, è opportuno che l’utente verifichi la quantità e la tipologia di dati che intende esternalizzare (es. dati personali identificativi o meno, dati sensibili oppure particolarmente delicati come quelli genetici o biometrici, dati critici per la propria attività come ad esempio progetti riservati). È necessario innanzitutto valutare gli eventuali rischi e le possibili conseguenze derivanti da tale scelta sotto il profilo della riservatezza e della loro rilevanza nel normale svolgimento della propria attività. Tale analisi valutativa dovrà evidenziare l’opportunità o meno di ricorrere a servizi cloud (limitandone l’uso ad esempio a determinati tipi di dati), nonché l’impatto sull'utente in termini economici e organizzativi, l’indisponibilità, pur se parziale o per periodi limitati, dei dati esternalizzati o, peggio, la loro perdita o cancellazione.
∙Effettuare una verifica in ordine all’affidabilità del fornitore.Gli utenti dovrebbero ragionevolmente accertare l’affidabilità del fornitore prima di migrare sui sistemi virtuali i propri dati più importanti, tenendo in considerazione le proprie esigenze istituzionali o imprenditoriali, la quantità e la tipologia delle informazioni che intendono allocare nella cloud, i rischi e le misure di sicurezza. In funzione della tipologia di servizio che necessitano, oltre che della criticità dei dati, è opportuno che valutino la stabilità societaria del fornitore, le referenze, le garanzie offerte in ordine alla confidenzialità dei dati e alle misure adottate per garantire la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti. Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità. Ulteriori criteri in base ai quali è possibile valutare l’affidabilità di un fornitore emergono dall’impiego di personale qualificato, dall’adeguatezza delle infrastrutture informatiche e di comunicazione, dalla disponibilità ad assumersi responsabilità, esplicitamente previste dal contratto di servizio, derivanti da eventuali falle nel sistema di sicurezza o a seguito di interruzioni di servizio.
∙Privilegiare i servizi che favoriscono la portabilità dei dati.È consigliabile ricorrere a servizi di cloud computing nelle modalità SaaS, PaaS o IaaS in un’ottica lungimirante, vale a dire privilegiando servizi basati su formati e standard aperti, che facilitino la transizione da un sistema cloud ad un altro, anche se gestiti da fornitori diversi. Ciò al fine di scongiurare il rischio che eventuali modifiche unilaterali dei contratti di servizio da parte di uno qualunque degli operatori che intervengono nella catena di fornitura si traducano in condizioni peggiorative vincolanti o, comunque, per facilitare eventuali successivi passaggi da un fornitore all’altro.
∙Assicurarsi la disponibilità dei dati in caso di necessità.Nell’utilizzo dei servizi di cloud computing, in assenza di stringenti vincoli sulla qualità formalizzati attraverso il contratto con il fornitore, si raccomanda di mantenere una copia di quei dati (anche se non personali) dalla cui perdita o indisponibilità potrebbero conseguire danni economici, per l’immagine o in generale relativi alla missione e alle finalità perseguite dall’utente. Ciò specie quando ci si affidi a servizi gratuiti o a basso costo quali, ad esempio, a servizi di hard-disk remoto, mail, soluzione per la conservazione documentale e così via, che potrebbero non presentare adeguate garanzie di disponibilità e prestazioni tipiche, invece, dei servizi professionali. Certamente, nel caso in cui i dati trattati non siano i propri, come avviene per aziende e pubbliche amministrazioni che raccolgono e detengono informazioni di terzi, l’adozione di servizi che non offrono adeguate garanzie di riservatezza e di continuità operativa può avere rilevanti ripercussioni nel patrimonio informativo dei soggetti cui i dati si riferiscono. In tal senso, il titolare del trattamento dei dati a fronte del contenimento di costi dovrà comunque provvedere al salvataggio (backup) dei dati allocati nella cloud, ad esempio creandone una copia locale (eventualmente sotto forma di archivio compresso), allo scopo di gestire gli eventuali rischi insiti nell’acquisizione di servizi che, pur con i vantaggi dell’economicità, potrebbero tuttavia non offrire sufficienti garanzie di affidabilità e di disponibilità. ∙Selezionare i dati da inserire nella cloud. Alcune informazioni che si intende inserire sui sistemi del fornitore di servizio, per loro intrinseca natura, quali ad esempio i dati sanitari, genetici, reddituali, biometrici o quelli coperti da segreto industriale, possono esigere particolari misure di sicurezza. In tali casi, poiché dal relativo inserimento nella cloud consegue comunque una attenuazione, seppur parziale, della capacità di controllo esercitabile dall’utente, ed una esposizione di tali informazioni a rischi non sempre prevedibili di potenziale perdita o di accesso non consentito, l’utente medesimo dovrebbe valutare con responsabile attenzione se ricorrere al servizio di cloud computing oppure mantenere in house il trattamento di tali tipi di dati.
∙Non perdere di vista i dati. È sempre opportuno che l’utente valuti accuratamente il tipo di servizio offerto anche verificando se i dati rimarranno nella disponibilità fisica dell’operatore proponente, oppure se questi svolga un ruolo di intermediario, ovvero offra un servizio progettato sulla base delle tecnologie messe a disposizione da un operatore terzo. Si pensi ad esempio a un applicativo in modalità cloud nel quale il fornitore del servizio finale (Software as a Service) offerto all’utente si avvalga di un servizio di
16
Anche in àmbito europeo, il cloud computing è stato oggetto di studi, tanto che il primo luglio 2012, il Consesso dei Garanti Europei per la protezione dei dati personali ha adottato un importante parere al riguardo48.
stoccaggio dati acquisito da un terzo. In tal caso, saranno i sistemi fisici di quest’ultimo operatore che concretamente ospiteranno i dati immessi nella cloud dall’utente.
∙Informarsi su dove risiederanno, concretamente, i dati. Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinate per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l’autorità giudiziaria nazionale, infatti, la possibilità di dare esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale. Non è, quindi, indifferente per l’utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l’utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all’adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni.
∙Attenzione alle clausole contrattuali. Una corretta e oculata gestione contrattuale può supportare sia l’utente, sia il fornitore nella definizione delle modalità operative e dei parametri di valutazione del servizio, oltre a individuare i parametri di sicurezza necessari per la tipologia di attività gestita. In ogni caso, è importante valutare l’idoneità delle condizioni contrattuali per l’erogazione del servizio di cloud con riferimento ad obblighi e responsabilità in caso di perdita, smarrimento dei dati custoditi nella nuvola e di conseguenze in caso di decisione di passaggio ad altro fornitore. Costituiscono elementi da privilegiare la previsione di garanzie di qualità chiare, corredate da penali che pongano a carico del fornitore eventuali inadempienze o le conseguenze di determinati eventi (es. accesso non consentito, perdita dei dati, indisponibilità per malfunzionamenti, ecc.). Si suggerisce, inoltre, di verificare eventuali soggetti terzi delegati alla fornitura di servizi intermedi e che concorrono all’erogazione del servizio finale rivolto all’utente, ovvero la preventiva identificazione dei diversi fornitori successivamente coinvolti nel trattamento. Si raccomanda, infine, di accertare quale sia la quantità di traffico dati prevista dal contratto oltre la quale vengono addebitati oneri economici supplementari.
∙Verificare le politiche di persistenza dei dati legate alla loro conservazione.
In fase di acquisizione del servizio cloud è opportuno approfondire le politiche adottate dal fornitore, che si dovrebbero poter evincere dal contratto, relative ai tempi di persistenza dei dati nella nuvola. Da una parte l’utente dovrebbe accertare il termine ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati. Dall’altra, il fornitore dovrà presentare adeguate garanzie, assicurando che i dati non saranno conservati oltre i suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con l’utente stesso. In ogni caso, i dati dovranno essere sempre conservati nel rispetto delle finalità e delle modalità concordate, escludendo duplicazioni e comunicazioni a terzi.
∙Esigere e adottare opportune cautele per tutelare la confidenzialità dei dati. Nell'ottica di proteggere la confidenzialità dei propri dati, l'utente dovrebbe valutare anche le misure di sicurezza utilizzate dal fornitore per consentire l’allocazione dei dati nella cloud. In generale si raccomanda di privilegiare i fornitori che utilizzano a tal fine tecniche di trasmissione sicure, tramite connessioni cifrate (specie quando i dati trattati sono informazioni personali o comunque dati che devono restare riservati), coadiuvate da meccanismi di identificazione dei soggetti autorizzati all'accesso, la cui complessità sia commisurata alla criticità dei dati stessi. Nella maggior parte dei casi risulta adeguato l'utilizzo di semplici meccanismi di identificazione, basati su username e password, purché le password non siano banali e vengano scelte di lunghezza adeguata. Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati - quali quelli sanitari, genetici, reddituali e biometrici o, più in generale, dati la cui riservatezza possa considerarsi “critica” - si raccomanda oltre all'utilizzo di protocolli sicuri nella fase di trasmissione, anche la conservazione in forma cifrata sui sistemi del fornitore di servizio.
∙Formare adeguatamente il personale. Il personale preposto al trattamento di dati attraverso i servizi di cloud computing dovrebbe essere sottoposto a specifici interventi formativi, che evidenzino adeguatamente le modalità più idonee per l’acquisizione e l’inserimento dei dati nella cloud, la consultazione e in generale l’utilizzo dei nuovi servizi esternalizzati e delle indicazioni sin qui illustrate, allo scopo di mitigare rischi per la protezione dei dati derivanti non solo da eventuali comportamenti sleali o fraudolenti, ma anche causati da errori materiali, leggerezza o negligenza: circostanze queste che potrebbero dare luogo ad accessi illeciti, perdita di dati o, più in generale, trattamenti non consentiti».
48 Parere 05/2012 sul Cloud Computing - WP 196, adottato il 1° luglio 2012, disponibile al sito Internet:
http://ec.europa.eu/justice/policies/privacy/index_en.htm. Il Gruppo di lavoro per la tutela dei dati ex art. 29 è stato, appunto, istituito in virtú dell'articolo 29, della Direttiva 95/46/CE. È l’organo consultivo
17
Il parere in disamina evidenzia come la diffusione su vasta scala dei servizi cloud computing comporti una serie di rischi per la protezione dei dati personali e, in particolare, si segnala una mancanza di controllo sugli stessi, cosí come l’insufficienza d’informazioni in merito alle regole, al luogo e all’esecutore del trattamento/subtrattamento dei dati.
Si avverte come gli enti pubblici e le imprese private, che intendano avvalersi di servizi di cloud computing, debbano attentamente valutare questi rischi. Il parere esamina, poi, i problemi connessi alla condivisione di risorse con altre parti, la scarsa trasparenza di una catena di esternalizzazione, costituita da molteplici incaricati del trattamento e subcontraenti, la mancanza di un quadro di riferimento comune globale sulla portabilità dei dati e, inoltre, l’incertezza in merito all’ammissibilità del trasferimento di dati personali a fornitori di servizi cloud al di fuori del SEE.
Allo stesso modo, il parere pone l’accento sulla mancanza di trasparenza (aspetto fonte di grave preoccupazione), in termini d’informazioni che un titolare del trattamento è in grado di fornire a un interessato sulle modalità di trattamento dei suoi dati personali. Gli interessati devono innanzitutto essere informati su chi procede al trattamento dei loro dati e per quali finalità e per essere in grado di esercitare i diritti loro spettanti a tale proposito.
Il parere lancia un monito alle imprese e alle amministrazioni, che intendono utilizzare servizi di cloud computing, le quali dovrebbero innanzitutto eseguire un’analisi del rischio, completa e approfondita. Tutti i fornitori di servizi cloud nel SEE dovrebbero fornire al cliente tutte le informazioni necessarie per valutare correttamente i pro e i contro dell’adozione di un simile servizio. Sicurezza, trasparenza e certezza giuridica per i clienti dovrebbero essere princípi fondamentali alla base dell’offerta di servizi di cloud computing.
indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30, della Direttiva 95/46/CE e all’articolo 15 della Direttiva 2002/58/CE. Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e cittadinanza dell’Unione) della Commissione europea, direzione generale Giustizia, B -1049 Bruxelles, Belgio, ufficio LX-46 01/190. Nel suddetto parere, il Gruppo di lavoro articolo 29 prende in esame tutte le questioni rilevanti per i fornitori di servizi di cloud computing operanti nello Spazio economico europeo (SEE) e per i loro clienti, specificando tutti i principi applicabili della direttiva UE sulla protezione dei dati (95/46/CE) e della direttiva e-privacy 2002/58/CE (modificata dalla direttiva 2009/136/CE), dove pertinenti. Senza dubbio, la diffusione del cloud
computing, come paradigma tecnologico globale, rappresenta una sfida, come, del resto, è in qualsiasi processo
evolutivo. Il parere in questione, pertanto, si può considerare un passo importante nel definire i compiti che la comunità della protezione dei dati dovrà assumere a questo proposito nei prossimi anni. Sul punto, v. anche l’analisi di G. MARCOCCIO, Cloud Computing: l’Opinione dei Garanti Privacy Europei, 2012, in www.diritto.it,
disponibile all’indirizzo: http://www.diritto.it/docs/33706-cloud-computing-l-opinione-dei-garanti-privacy-europei.
